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Abstract of DE10032216 
The vehicle safety system has a first and 
second program controlled units. The units are 
arranged to process the same safety program 
in dependence on signals of peripheral units. 
The input of at least one program controlled 
unit is connected to at least one peripheral 
unit. Functional units are arranged within the 
program controlled units. Each functional unit 
in the first program controlled unit has and is 
coupled to an associated functional unit in the 
other program controlled units. The 
corresponding functional units process the 
same program segment of the safety program. 
These provide a status signal in dependence 
on the relevant program segment which is sent 
to the following functional unit. In the case of a 
fault, a reset release signal is output. A reset 
unit is coupled to the output of the function 
units. This generates a reset signal to reset the 
program controlled units in dependence on 
reset signal fed to it indicating a fault. 
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@ Sicherheitssystem in einem Kraftfahrzeug und Verfahren 

@ Die Erfindung betrifft ein Sicherheitssystem in einem 
Kraftfahrzeug und ein Verfahren, bei dem ein Hauptrech- 
ner die Sensor- und Konfigurationseingange steuert und 
diagnostiziert. Ober einen SPI-Bus wird ein Schutzrechner 
eingangsseitig ats Slave an den als Master fungierenden 
Hauptrechner angeschlossen. Der Schutzrechner uber- 
pruftden Zeitverlauf der Prozess-Signale, die vom Haupt- 
rechner vorzungsweise uber einen Prozess-Synchronisa- 
tionsbus an den Schutzrechner herangefuhrt werden. Auf 
diese Weise ist ein anpassungsfahiges Sicherheitssystem 
mil l<onfigurierbarer Schutzfunktlon realisierbar, die mit 
lediglich einer etnzigen redundanten Hardwarekompo- 
nente (Schutzrechner) auskommt. 
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Beschreibung 



[0001] Die Erfindung betrifft ein Sicherheitssystem in ei- 
nem Kraflfahrzeug sowie ein Verfahren zur "Oberwachung 
der ordnungsgemaBen Funkdon eines Sicherheitssystems. 
[0002] Sicherheitssysteme in Kraftfahrzeugen sind mit 
dem steigenden Bedurfnis nach mehr Sicherheit fur die im 
Kraftfahrzeug zu schiitzenden Personen und Einrichtungen 
aus dem Kraftfahrzeug nicht mehr wegzudenken. Derartige 
Sicherheitssysteme sind haufig mit RUckhaltemitteln, wie 
z. B. Fahrer- und Beifahrerairbags, Seitenairbags, Gurtstraf- 
fem, Oberrollbiigeln und dergleichen, ausgestattet. 
[0003] Bei sicherheitskritischen Systemen, wie sie in der 
Automobilindustrie und in der Luftfahrtindustrie voriiegen, 
sind sehr hohe Sicherheitsanforderungen sowohl fUr die 
Hardware als auch die Software solcher Sicherheitssysteme 
gestellt. Ein Aus fallen oder eine Fehlfunktion eines Elemen- 
tes des Sicherheitssystems muss definiert erkannt werden, 
ungeachtet, ob es sich hier um einen Hardwarefehler oder 
um einen Softwarefehler handelt. Solche Fehler konnen bei- 
spielsweise bei einem defekten Sensor- oder Konfigurati- 
onseingang, bei einem Ausf alien der Zeitbasis oder der Re- 
ferenzspannung des Steueirechners, einem Fehler im Pro- 
gramm, etc. voriiegen. Aus diesem Grund werden hSufig 
redundante Hardwarekomponenten eingesetzt, um eine 
moglichst sichere Funktionsweise der Sicherheitssysteme 
zu gewahrleisten. 

[0004] Die einfachste Form der Hardwareredundanz be- 
steht aus einem Mikroprozessorsystem und einem, dieses 
System liberwachenden, sogenannten Watchdog-Timer. 
Dieser Watchdog-Timer erhalt periodisch, d, h. innerhalb ei- 
ner vorbestimmten Zeitspanne, ein Statussignal vom Mikro- 
prozessor. Wenn dieses Signal durch einen Software- oder 
Hardwarefehler nicht zeitlich korrekt generiert wird, so wird 
das System vom Watchdog-Timer in einen sicheren Zustand 
gesteuert (fail safe), eine Fehlermeldung wird ausgegeben 
(failure identification) und der Mikroprozessor wird neu ge- 
startet (reset). Der Vorteil dieses Sicherheitssystems besteht 
darin, dass der Mikroprozessor wie auch der Watchdog-Ti- 
mer in einem Kraftfahrzeug ohnehin schon zur Steuerung 
verse hiedener elektrischer und elektronischer Fahrzeug- 
funktionen, wie zum Beispiel Motorsteuerung, ABS, ESP, 
Klimaanlage, Fensterheber, etc., vorhanden ist und nicht erst 
bereitgestellt werden muss. 

[0005] Ein solcher Watchdog-Timer besteht aus einem frei 
laufenden Zahler, der kurz vor seinem Uberlaufen durch das 
aktuelle Programm zuriick gesetzt wird. Ein Fehler im Si- 
cherheitssystem kann also immer erst beim voUstandigen 
Dure hlau fen des Watchdog-Timers erkannt werden. Dieser 
Vorgang bis zum Oberlaufen des Watchdog-Hmers kann je 
nach Einstellung mitunter sehr lang sein. Diese mitunter 
sehr lange Zeitdauer, die vielleicht bei den oben genannten 
"iiblichen" Uberwachungstatigkeiten eines Mikroprozessor 
ausreichend sein konnen, sind jedoch bei einem sicherheits- 
kritischem System nicht akzeptabel, da beispielsweise im 
Kraftfahrzeug das Auslosen eines Ruckhaltemittels, wie 
z. B. der Zundpille fiir einen Airbag, moglichst verzoge- 
rungsfrei erfolgen muss. 

[0006] Altemativ zu der genannten einfachsten Form ei- 
ner Hardwareredundanz waren auch komplexere hardware- 
redundante Sicherheitssysteme denkbar, bei denen jeweils 
fur ein Eingangssignal eine redundante Sicherheitskompo- 
nenten vorgesehen sind. Allerdings werden die Anforderun- 
gen an SicherheiLssystetne in Kraftfahrzeugen kunftig stark 
zunehmen, um den Schutz der Fahrzeuginsassen weiter zu 
verbessern. Damit einhergehend wird gleichermafien die 
Zahl der Ruckhalteeinrichtungen und deren zugehorige 
Auslosemittel ansleigen. Gleiches gilt fur die Sensor- und 



Konfigurationseinrichmngen. Dies bedeutet aber, dass eine 
der Anzahl der Peripherieeinrichtungen entsprechende An- 
zahl von redundanten Komponenten fUr die entsprechenden 
Eingangssignale bereitgestellt werden miissen. Damit wer- 
5 den aber die genannten komplexen Sicherheitssysteme sehr 
umfangreich, was aus okonomischen Grunden haufig nicht 
akzeptabel ist. 

[0007] Es ist daher die Aufgabe der vorliegenden Erfin- 
dung, ein Sicherheitssystem anzugeben, welches eine ver- 
10 gleichsweise hohe Sicherheit bietet und das gleichzeitig 
moglichst einfach und kostengunstig herstellbar ist. Femer 
soil ein Verfahren zum Betreiben des Sicherheitssystems an- 
gegeben werden. 

[0008] Die systembezogene Aufgabe wird erfindungsge- 
15 mafi durch ein Sicherheitssystem mit den Merkmalen des 

Patentanspruchs 1 gelost. Demgemass ist ein Sicherheitssy- 
stem in einem Kraftfahrzeug vorgesehen. 
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- mit einer ersten und mindestens einer weiteren pro- 
granmigesteuerten Einheit, die zur Abarbeitung eines 
gleichen Sicherheitsprogramms in Abhangigkeit von 
Signalen der Peripherieeinheiten ausgelegt sind, wobei 
mindestens eine programmgesteuerte Einheit ein- 
gangsseitig mit mindestens einer Peripherieeinheit ge- 
koppelt ist, 

- mit in den programmgesteuerten Einheiten angeord- 
neten Funktionseinheiten, wobei jeweils einer Funkti- 
onseinheit in der ersten programmgesteuerten Einheit 
eine weitere Funklionseinheit in der(den) weiteren pro- 
grammgesteuerten Einheit(en) zugeordnet ist, die mit- 
einander gekoppelt sind, die jeweils ein gleiches Pro- 
grammsegment des Sicherheitsprogramms abarbeiten, 
die ein Statussignal in Abhangigkeit von dem jeweils 
abgearbeiteten Program msegment bereitstellen, wel- 
ches der jeweils nachgeordneten Funktionseinheit zu- 
fiihrbar ist, und die bei einem Fehler ein Resetfreigabe- 
Signal erzeugen, 

- mit einer Riicksetzeinrichtung, die mit den Ausgan- 
gen der Funktionseinheiten der programmgesteuerten 
Einheiten gekoppelt ist und die abhangig von solchen 
ihr zugefiihrten Resetfreigabe-Signalen, die eine feh- 
lerhafte Funktion anzeigen, ein Riicksetzsignal zum 
Rucksetzen der programmgesteuerten Einheiten er- 
zeugt. 



[0009] Die verfahrensbezogene Aufgabe wird erfindungs- 
gemaB durch ein Verfahren mit den Merkmalen des Patent- 
anspruchs 12 gelost. 

[0010] Die erste programmgesteuerte Einheit (Hauptrech- 

50 ner) steuert und diagnostiziert die Sensor- und Konfigurati- 
onseingange. Es wird dabei beriicksichtigt, dass keine red- 
undanten Aufnehmer fiir die Eingangsdaten eingesetzt wer- 
den, dafur wird die eingeschrankte Redundanz der Ein- 
gangsdaten beriicksichtigt. Uber den SPI-Bus wird die an- 

55 dere programmgesteuerte Einheit (Schutzrechner) eingangs- 
seitig als Slave an den als Master fungierenden Hauptrech- 
ner angeschlossen. Der Schutzrechner uberpriift den Zeit- 
verlauf der Prozess-Signale, die vom Hauptrechner gesendet 
werden. Diese Prozess-Signale werden vorzugsweise iiber 

60 I/OPorts und uber den Prozess-Synchronisationsbus an den 
Schutzrechner herangefUhrt. t)ber diesen Prozess-Synchro- 
nisationsbus werden Daten - beispielsweise tiber verschie- 
dene Zustande des Hauptrechners wie dessen Einschalt- 
phase, Steuerung und Lesen der einzelnen Eingangsschnitt- 

65 steilen, Diagnose der wichtigsten Funktionseinheiten, Auf- 
prallerkennung, Ansteuerung von Ausgangen, Abschalt- 
phase - an den Schutzrechner gesendet. Diese Schutzfunk- 
tionen konnen iiber Software an die jeweiligen Verhaltnisse 
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bzw. Anforderungen angepasst werden. 
[OOU] Auf diese Weise ist ein anpassungsfahiges Sicher- 
heitssystem mit konfigurierbarer Schutzfunktion realisier- 
bar, die mit lediglich einer einzigen zusalzlichen Hardware- 
komponente, namlich die Bereitstellung des Schutzrech- 5 
ners, auskommt. Es muss hier lediglich sicheigestellt wer- 
den, dass die Rechenleistung des Schutzrechners an die, aus 
der Sicht der Schutzftinktion, erforderlichen Aufgaben an- 
gepasst wird, urn dadurch den Aufwand des erfindungsge- 
maBen Sicherheitssystems moglichst gering zu halten. Es lO 
ISsst sich dann ein Sicherheitssystem bereitstellen, dessen 
Gesamtkosten signifikant geringer als die KosLen der ein- 
gangs beschriebenen klassischen Losungen sind, wohinge- 
gen eine deutliche Verbesscrung der Schutzfahigkeit ge- 
wahrleistet werden kann. 15 
[0012] Weitere vorleilhafte Ausgestaltungen und Weiter- 
bildungen des Erfindungsgedankens sind den Unteransprii- 
chen sowie der Beschreibung unter Bezugnahme auf die 
Zeichnung enmehmbar. 

[0013] Die Erfindung wird nachfolgend anhand der in den 20 
Figuren der Zeichnung angegebenen Ausfuhrungsbeispiele 
naher eriautert. Es zeigt dabei: 

[0014] Fig. 1 das Blockschaltbild eines erfindungsgema- 
Ben Sicherheitssystems mit parallel angeordneten pro- 
grammgesteuerten Einheiten; 25 
[0015] Fig. 2 ein detailliertes Blockschaltbild der pro- 

grammgesleuerten Einheilen entsprechend Fig. I. 
[0016] In alien Figuren der Zeichnung sind gleiche bzw. 
funktionsgleiche Elemente und Signale, sofern nichts ande- 
res angegeben ist, mit gleichen Bezugszeichen versehen. 30 
[0017] Fig. 1 zeigt in einem Blockschaltbild die Grund- 
struktur eines erfindungsgemaBen Sicherheitssystems 1. Das 
Sicherheitssystem 1 weist zwei programmgesteuerte Einhei- 
ten 2, 3 auf, von denen die erste programmgesteuerte Einheit 
2 als Hauptrechner und die andere programmgesteuerte Ein- 35 
heit 3 als Schutzrechner ausgebildet ist. Der Hauptrechner 2 
ist vorteilhafterweise derart ausgelegt, dass er neben der 
Verarbeitung der Programmablaufe fur die Schutzfunktio- 
nen auch andere Programmablaufe, beispi els weise Steue- 
rungs-, Regelungsfunktionen und Statusinformationen ver- 40 
arbeiten kann. Der Schutzrechner 3 ist typischerweise ledig- 
lich zur Verarbeitung von solchen Programmablaufen aus- 
gelegt, die fiir die Schutzfunktion des Sicherheitssystems er- 
fotderlich sind. Es ware jedoch auch denkbar, dass beide 
programmgesteuerte Einheiten 2, 3 als Hauptrechner ausge- 45 
bildet sind und quasi eine Arbeitsteilung der zu verarbei ten- 
den Programme vomehmcn, wobei lediglich sicherheitsrele- 
vante Progranunablaufe von beiden programmgesteuerte 
Einheiten 2, 3 gemeinsam bearbeitet werden. Besonders 
vorteilhaft ist femer, wenn die beiden programmgesteuerten 50 
Einheiten 2, 3 jeweils eine eigene Zeitbasis und ein eigenes 
Referenzpotential VDD aufweisen. 

[0018] Femer sind zwei, mit den progranrmigesteuerten 
Einheiten 2, 3 gekoppelte Peri pherieeinhei ten 4, 5 vorgese- 
hen. Im vorliegenden Ausfuhrungsbeispiel ist die eine Peri- 55 
pherieeinheit 4 als Sensor - beispielsweise als Aufprallsen- 
sor - ausgebildet, wahrend die andere Peripherieeinheit 5 
cine Konfigurationseinheit umfasst. In Fig. 1 wurde ledig- 
lich eine einzige Sensoreinheit 4 und eine einzige Konfigu- 
rationseinheit 5 dargestellt; es sei jedoch schon an dieser 60 
Stelle darauf hingewiesen, dass ein Sicherheitssystem in ei- 
nem Kraftfahaeug typischerweise eine Vielzahl solcher 
Sensor- und Konfiguralionseinheilen 4, 5 aufweisl. 
[0019] Die Peripherieeinheiten 4, 5 sind tiber eine syn- 
chrone Bus-Schnittstelle 6 mit den beiden progranimgesteu- 65 
erten Einheiten 2, 3 verbunden. Im vorliegenden Ausfuh- 
rungsbeispiel ist diese synchrone Schnittstelle 6 als serielle 
SPI-Schnillstelle (SPi = synchronous serial interface) aus- 
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gebildet. Eine SPI-Schnittstelle 6 ermoglicht eine schnelle 
serielle Datentibertragung von bis zu 1 Mbit/sec zwischen 
Kommunikationsteilnehmem bei Entfernungen bis ca. 
15 m. Fur eine voUduplexe DatenUbertragung werden hier 
typischerweise zwei serielle Datenleitungen 8, 9 zur tJber- 
U^gung eines Datensignals (MOSI, MISO) und eine Taktlei- 
tung 10 fur den Systemtakt (CLK) benotigt. Die programm- 
gesteuerten Einheiten 2, 3 und die Peripherieeinheiten 4, 5 
weisen hierfur entsprechende Ein-/Ausgange MOSI, MISO, 
CLK auf. 

[0020] Ein Konununikationsteilnehmer, im vorliegenden 
Beispiel der Hauptrechner 2, arbeitet als Master, der den 
Takt fiir die Datcniibertragung nach dem Schieberegister- 
Prinzip bereitsleUt. Der andere Kommunikationsteilnehmer, 
hier der Schutzrechner 2, fungiert als Slave, der auf eine 
Masteranforderung seine Daten ausgibt. Da jeder SPI-Kom- 
munikationsteilnehmer iiber ein Aktivierungspin (in Fig. 1 
nicht dargestellt) verfugt, lassen sich damit sehr einfach bus- 
ahnliche Strukturen aufbauen. Obgleich eine derartige SPI- 
Schnittstelle 6 aus den genannten Griinden sehr vorteilhaft 
ist, sei die Erfindung jedoch nicht auf die Verwendung einer 
SPI-Schnittstelle 6 eingeschrankt, vielmehr sind auch an- 
dere Bus-Schnitlstellen, wie z.B. ein I^-Bus, ein CAN- 
Bus Oder deigleichen, denkbar. Femer soli die Erfindung 
nicht auf serielle Schnittstellen beschrankt sein, vielmehr 
wSre auch eine parallel Schnittstelle von Vorteil. 
[0021] Ferner isL ein Synchronisationsbus 7 vorgesehen, 
der zwischen den progranungesteuerten Einheiten 2, 3 ange- 
ordnet ist und der der Synchronisation der Datenkommuni- 
kation zwischen den beiden programmgesteuerten Einheiten 
2, 3 dient. Die Funktionsweise des Synchronisationsbusses 
7 wird nachfolgend noch anhand von Fig. 2 detaiUiert eriau- 
tert. 

[0022] SchlieBlich weist das SicherheiLssysLem 1 zwei 
Ausgabeeinheiten 11, 12 auf. Im einfachsten Fall konnen die 
Ausgabeeinheiten 11, 12 als UND-Gatter 13, 14 realisiert 
sein. Die Ausgabeeinheiten 11, 12 sind mit den jeweiligen 
Ausgangen der programmgesteuerten Einheiten 2, 3 kreuz- 
verschaltet. tiber Verbindungsleitungen sind den Ausgabe- 
einheiten 11, 12 Freigabesignale 15, 16 zufuhrbar. Den Aus- 
gabeeinheiten 11, 12 konnen in Fig. 1 nicht dargestellte 
Ruckhaltemittel, beispielsweise die Ziindpille eines Air- 
bags, die Liber einen Freigabebefehl 17, 18 ausgelost wer- 
den, nachgeordnet sein. 

[0023] Fig. 2 zeigt ein detailliertes Blockschaltbild der 
programmgesteuerten Einheiten 2, 3 entsprechend Fig. 1, 
Die programmgesteuerten Einheiten 2, 3 sind, wie bereits 
erwaihnt, zur parallelen Abarbeitung desselben Sicherheits- 
programms ausgelegt. Im AusfUhrungsbeispiel in Fig. 1 
weist der Hauptrechner 2 drei Funktionseinheiten 20, 21, 22 
auf, die jeweils zur Abarbeitung eines einzelnen Programm- 
segmentes, das Teil des Sicherheitsprogramms ist, ausgelegt 
sind. Der Schutzrechner 3 weist eine gleiche Anzahl Funkti- 
onseinheiten 30, 31, 32 auf, die weitestgehend identisch wie 
die Funktionseinheiten 20, 21, 22 aufgebaut sind und die 
entsprechende Programmsegmente des Sicherheitspro- 
gramms abarbeiten. Die Funktionseinheiten 20, 21, 22; 30, 
31, 32 sind jeweils iiber Verbindungsleitungen 70-73 des 
Synchronisationsbusses 7 miteinander gekoppelt. Durch die 
so ausgestaltete Hardwareredundanz, also durch das Bereit- 
stellen doppell vorhandener und miteinander gekoppelter 
Hardwareelemente, wird eine hardwarem^ige oder soflwa- 
remaBige Fehlfunklion sicher erkannl. 
[0024] Ferner ist. in Fig. 2 eine Rucksetzeinrichtung 40 
vorgesehen, die eingangsseilig mit den Funktionseinheiten 
20, 21, 22; 30, 31, 32 und ausgangsseitig mit den Reset-Ein- 
gangen RES der programmgesteuerten Einheiten 2, 3 ge- 
koppelt ist. Die Rucksetzeinrichtung 40 weist ein ODER- 
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Gatter 41 sowie eine dem ODER-Gatter 41 nachgeschaltete 
Reset-Schaltung 42 auf. tjber Verbindungsleitungen ist dem 
ODER-Gatter ein Resetfreigabe-Signal 43, 44 zufuhrbar. 
Bei Vorliegen der entsprechenden Reset-Bedingungen er- 
zeugt die Reset-Schaltung 42 ein Resetfreigabe-Signal 45, 5 
das den programmgesteuerten Einheiten 2, 3 zugefiihrt wird. 
Die Reset-Schaltung 42 konnte beispielsweise auch durch 
einen Watchdog-Timer bzw. einen Trigger- Watchdog ausge- 
bildet sein. g 

[0025] Nachfolgend wird die Funktionsweise der mitein- lO 
ander gekoppelten programmgesteuerten Einheiten 2, 3 de- 
tailliert beschrieben: 

[0026] Das Gnindprinzip des erfindungsgemaBen Sicher- 
heitssystems 1 besteht in der Bereitstellung zweier, in Bezug 
auf die Schutzfunktionen gleichberechtigter prograimnge- 15 
steuerter Einheiten 2, 3. Eine Entscheidung des Gesamtsy- 
stems, beispielsweise das Auslosen eines Airbags oder eines 
ttberrollbiigels, muss daher auch von beiden programmge- 
steuerten Einheiten 2, 3 gleichzeitig getragen werden, Zu 
diesem Zweck werden alle sicherheitskritischen Eingangs- 20 
daten 50, d. h. solche Eingangsdaten, die fur die Schutz- 
fiinktion relevant sein k5anten, in beide programmgesteu- 
erte Einheiten 2, 3 eingekoppelt und dort zumindest auf ihie 
Gultigkeit uberpruft. Sicherbeitsunkritische Eingangsdaten 
51 werden hingegen lediglich in eine programmgesteuerten 25 
Einheiten 2, 3, im vorliegenden Fall in den Hauptrechner 2, 
eingekoppelt 

[0027] Femer wird jede programmgesteuerte Einheit 2, 3 
iiber die Vorgange in der jeweils anderen programmgesteu- 
erten Einheit 2, 3 informiert und uberpruft die Reihenfolge 30 
und die Zeitdauer der durch die jeweiligen Funktionseinhei- 
ten 20, 21, 22; 30, 31, 32 bearbeiteten Programmsegmente. 
Beide programmgesteuerten Einheiten 2, 3 konnen bei einer 
identifizierten festgeslellten Fehlfunktion uberein Reset-Si- 
gnal 45 beide programmgesteuerte Einheiten 2, 3 zuriickset- 35 
zen. Das Reset-Signal 45 wird hier iiber die Reset-Schaltung 
42, die beispielsweise von dem Hauptrechner 2 getatigt und 
gesetzt wird, erzeugt. Vorteilhafterweise kann der Schutz- 
rechner 3 jedoch das Setzen der Reset-Schaltung 42 verhin- 
dem und somit das Reset-Signal 45 selber auslosen. Zu die- 40 
sem Zweck ist die Reset-Schaltung 42 und die vorgeschal- 
tete ODER-Schaltung 41 jeweils mit den Ausgangen der 
Funktionseinheiten 20, 21, 22; 30, 31, 32 verbunden, die je- 
weils ein Freigabe- bzw. Statussignal iiber den Ablauf der 
von ihnen jeweils bearbeiteten Programmsegmente an die 45 
Rucksetzeinrichtung 40 sendet. 

[0028] Die Statussignal auf den Verbindungsleitungen 
kdnnen je nach Anwendung ein unterschiedliches Format 
aufweisen. Eine mogliche Bitstruktur der Statussignale auf 
den Verbindungsleitungen 70-73 gemafi Fig. 2 wird nach- 50 
folgend anhand von Fig. 3 naher beschrieben: 
[0029] Im einfachsten Fall reicht hier ein 3-bit breites Sta- 
tussignal aus, um den ordnungsgemaBen oder ein fehlerhaf- 
ten Betrieb zu erkennen. Ein solches Statussignal hat das 
Format "xl; x2; x3", wobei mit xl das hochstwertige Bit 55 
(sog. MSB-Bit) und mit x3 das niedrigstwertige Bit (sog. 
LSB-Bit) bezeichnet ist. Das MSB-Bit xl gibt im vorliegen- 
den Beispiel an, von welcher programmgesteuerten Einheit 
2, 3 das jeweilige Statussignal stammt Das x2-Bit zeigt das 
Ende eines Programmsegmentes an, wahrend das LSB-Bit ^ 
x3 anzeigt, ob dieses Ende jeweils erkannt wurde. 
[0030] Den beiden Funktionseinheiten 20, 30 werden je- 
weils kritische Eingangsdaten 50 zugefiihrl, die in den 
Funktionseinheiten 20, 30 ein gleiches Programmsegment 
durchlaufen. Funktionseinheit 20 sendet den Funktionsein- 65 
heiten 21, 31 uber die Verbindungsleitung 70 ein Statussi- 
gnal, das das Ende des ersten Programmsegmentes anzeigt. 
Funktionseinheit 31 sendet daraufhin Uber Verbindungslei- 
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tung 71 seinerseits ein Statussignal, dass das Ende des ersten 
Programmsegmentes erkannt wurde. In der zweiten Stufe 
zeigt Funktionseinheit 21 den Funktionseinheiten 22, 32 
uber die Verbindungsleitung 72 das Ende des zweiten Pro- 
grammsegmentes an, Aufgrund eines software- oder hard- 
waremaBigen Fehlers konnte Funktionseinheit 32 jedoch 
das Ende des zweiten Programmsegmentes nicht erkennen, 
so dass der Funktionseinheit 22 ein entsprechendes negati- 
ves Statussignal ubermittelt wird, was in Fig. 2 durch die ge- 
sUnchelte Verbindungsleitung 73 dargestellt wurde. Von dem 
Hauptrechner 2 wird deshalb kein Freigabesignal 15 ausge- 
geben. Gleichzeitig erzeugt der Hauptrechner 2 ein Reset- 
freigabe-Signal 43. Die Reset-Schaltung 42 setzt daraufhin 
iiber das Resetsignal 45 die beiden progranungesteuerten 
Einheiten 2, 3 zuriick. 

[0031] Auf diese Weise kann eine Fehler - beispielsweise 
der Aus fall irgendeiner Funktionseinheit inklusive der Ver- 
sorgungsspannungseinheit ~ bereits am Ende jeder ein Pro- 
grammsegment ausfiihrenden Funktionseinheit 20, 21, 22; 
30, 31, 32 erkannt werden und nicht erst nach einer vorbe- 
stimmten Zeitdauer der Reset-Schaltung 42. Dadurch ist 
eine Echtzeit-Fehlererkennung mdglich. Dariiber hinaus 
wird auch eine softwareseitige Fehlfunktion definiert er- 
kannt, wodurch der ganze Entwicklungs- und PrCfprozess 
signifikant verbessert wird. 

[0032] Wie bereits erwahnt beschreibt das Ausfiihrungs- 
beispiel gemaB Fig. 3 ein einfache Ausgestaltung des Bus- 
protokoU auf dem Synch ronisationsbus 7. Es ware jedoch 
auch denkbar und ggf. je nach Anwendung auch vorteilhaft, 
ein komfortableres BusprotokoU zu verwenden, das bei- 
spielsweise auch die folgenden zus^tzlichen Informationen 
hefert: 

- Art des Fehlers, z. B. Software- oder Hardwarefeh- 
ler, Fehler in der Referenzspannung oder Taktversor- 
gung; 

- Urafang des Fehlers, d. h. wird dadurch die Funkti- 
onsfahigkeit des Sicherheitssystem beeintrachtigt; 

- In welcher Funktionseinheit ist der Fehler entstan- 
den; etc. 

[0033] Ferner wurden im vorliegenden Ausfuhrungsbei- 
spiel die Reselfreigabe-Signale jeweils als 1-Bit breilc Si- 
gnale beschrieben, die bei einer "1" die nachgeordnete 
Schaltung 40, 11 freigeben, wodurch ein Ziindimpuls 17 
oder ein Resetsignal 45 ausgelost wird. Bei einer "0" wird 
die nachgeordnete Schaltung 40, 11 gesperrt, dass heiBt es 
wird kein Ziindimpuls 17 oder Resetsignal 45 ausgelost. 
Denkbar ware jedoch auch hier, dass die Signale eine Bit- 
brcite groBer als eins aufweisen. Damit ware es moglich, 
dass bei einem Fehler das System je nach Fehlertyp ein un- 
terschiedliches Verhalten zeigt. Ein solches System kann ab- 
hangig von der Bitzahl des Signals 43, 44; 15, 16 beispiels- 
weise ein oder mehrere der folgenden Fehlerverhalten zei- 
gen: 

- Keine Vorkehrungen fur den Ausfall des Systems; 

- Identifikation und Anzeigen des Fehlers (failure 
identification); 

- Umschalten in einen definierten, sicheren Zustand 
bei Auftreien eines Fehlers (Fail Safe; zum Beispiel bei 
einem Airbag-System; 

- Bereitstellung einer Miniiiialfunklionalital (Limb 
Home; zum Beispiel bei einem ABS-System); 

- VoU Funktionalitat auch im Falle eines Fehlers (Fai- 
lure Redundant, Fail Operational; zum Beispiel bei ei- 
nem S a lelli ten system). 
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[0034] Die Erfindung wurde anhand eines Sicherheitssy- 
stems im Kraftfahrzeug beschrieben. Jedoch sei die Erfin- 
dung nicht ausschlieBlich auf solche Anwendungen be- 
schrankt; vielmehr ist sie vorteilhafterweise bei samtlichen 
Sicherheitssystemen anwendbar, so zum Beispiel bei Si- 5 
cherheitssystemen fiir die Luft- und Raumfahrtechnik sowie 
fur Satellitensysteme. Die Erfindung eignet sich insbeson- 
dere fur sehr komplexe Sicherheitssysteme mit einer Viel- 
zahl von eingangsseitigen Sensor- und Konfigurationsein- 
heiten und ausgangsseitigen Riickhaltemitleln. 10 
[0035] Im vorliegenden AusfUhrungsbeispiel wurde das 
Sicherheitssystem der Einfachheit halber anhand einer ein- 
zigen redundanten Hardwarekomponente beschrieben. 
Selbstverstandlich lieBen sich, wenn dies erforderlich ware, 
weitere programmgesteuerte Einheiten parallel anordnen, 15 
wodurch die Sicherheit bei der Erkennung einer Fehlfunk- 
tion noch erheblich gesteigert werden konnte. 
[0036] Zusanunenfassend kann festgestellt werden, dass 
durch das wie beschrieben aufgebaute Sicherheitssystem ein 
fiir die Zwecke einer moglichst hohen Sicherheit gegen 20 
Fehlfunktion optimiertes System bereitgestellt wird, ohne 
dass gleichzeidg die Nachteile von Sicherheitssystemen 
nach dem Stand der Tfechnik in Kauf genommen werden 
miissen. Insbesondere bei sehr komplex ausgestalteten Si- 
cherheitssystemen, beispielsweise mit einer Vielzahl von 25 
eingangsseitigen Sensor- und Konfiguradonseinheiten und 
ausgangsseitigen Riickhaltemittel, lasst sich das erfindungs- 
gemal3e Sicherheitssystem durch die Bereitstellung ledig- 
lich einer redundanten Hardwarekomponente denkbar ein- 
fach und somit kostengunstig implementieren. 30 
[0037] Die vorliegende Erfindung wurde anhand der vor- 
stehenden Beschreibung so dargelegt, um das Prinzip und 
dessen prakdsche Anwendung bestmoglichst zu erklaren. 
Selbstverstandlich lasst sich die vorliegende Erfindung im 
Rahmen des fachmannischen Handelns und Wissens in ge- 35 
eigneter Weise in niannigfaldgen Ausfuhrungsformen und 
Abwandlungen realisieren. 

Patentanspriiche 

40 

1. Sicherheitssystem in einem Kraftfahrzeug 

mit einer ersten und mindestens einer weiteren pro- 

grammgesteuerten Einheit (2, 3), 

die zur Abarbeitung eines gleichen Sicherheitspro- 

gramms in Abhangigkeit von Signalen (50) der Peri- 45 

pherieeinheiten (4, 5) ausgeiegt sind, 

wobei mindestens eine programmgesteuerte Einheit (2, 

3) eingangsseitig mit mindestens einer Peripherieein- 

heit (4, 5) gekoppelt ist, 

mit in den programmgesteuerten Einheiten (2, 3) ange- 50 
ordneten Funktionseinheiten (20, 21, 22; 30, 31, 32), 
wobei jeweils einer Funktionseinheit (20, 21, 22) in der 
ersten programmgesteuerten Einheit (2) eine weitere 
Funktionseinheit (30, 31, 32) in der(den) weiteren pro- 
grammgesteuerten Einheit(en) (3) zugeordnet ist, 55 
die miteinander gekoppelt sind, 
die jeweils ein gleiches Programmsegment des Sicher- 
heitsprogramms abarbeiten, 

die ein Statussignal in Abhangigkeit von dem jeweils 
abgearbeitetcn Programmsegment bereitstellen, wel- 60 
ches der jeweils nachgeordneien Funktionseinheit (20, 
21, 22; 30, 31, 32) zufuhrbar ist, und 
die bei einein Fehler ein Resetfreigabe-Signal erzeugen 
(43, 44), 

mit einer Riicksetzeinrichtung (40), 65 
die mit den Ausgangen der Funktionseinheiten (20, 21, 
22; 30, 31, 32) der programmgesteuerten Einheiten (2, 
3) gekoppelt ist und 
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die abhangig von solchen ihr zugefiihrten Resetfrei- 
gabe-Signalen (43, 44), die eine fehlerhafte Funktion 
anzeigen, ein ROcksetzsignal (45) zum Rucksetzen der 
programmgesteuerten Einheiten (2, 3) erzeugt. 

2. Sicherheitssystem nach Anspruch 1, dadurch ge- 
kennzeichnet, dass die Riicksetzeinrichtung (40) ein 
iiber Resetfireigabe-Signale (43, 44) angesteuertes 
ODER-Gatter (41) sowie eine dem ODER-Gatter (41) 
nachgeschaltete die von Ausgangssignalen des ODER- 
Gatters (41) getriggert wird, aufweist. 

3. Sicherheitssystem nach Anspruch 2, dadurch ge- 
kennzeichnet, dass die Reset-Schaltung (42) als Watch- 
dog-Timer ausgebildet ist. 

4. Sicherheitssystem nach einem der vorstehenden 
Anspriiche, dadurch gekennzeichnet, dass ein Synchro- 
nisationsbus (7) vorgesehen ist, der zwischen den pro- 
granmigesteuerten Einheiten (2, 3) angeordnet ist und 
der dazu ausgeiegt ist, Statussignale jeweils gleicher 
Funktionseinheiten (20, 21, 22; 30, 31, 32) miteinander 
zu synchronisieren. 

5. Sicherheitssystem nach einem der vorstehenden 
Anspriiche, dadurch gekennzeichnet, dass mindestens 
dne Ausgabeeinrichtung (11, 12) vorgesehen ist, die 
mit den Ausgangen der progranungesteuerten Einhei- 
ten (2, 3) gekoppelt ist und die abhangig von ihr zuge- 
fiihrten weiteren Freigabesignalen (15, 16) ein Freiga- 
bebefehl (17) zum Auslosen mindestens eines Ruck- 
haltemittels erzeugt. 

6. Sicherheitssystem nach Anspruch 5, dadurch ge- 
kennzeichnet, dass eine Ausgabeeinrichtung (11, 12) 
jeweils ein UND-Gatter (13, 14) aufweist. 

7. Sicherheitssystem nach einem der vorstehenden 
Anspriiche, dadurch gekennzeichnet, dass eine pro- 
grammgesteuerte Einheiten (2, 3) eine eigene Zeitbasis 
und/oder ein eigenes Referenzpotential (VDD) auf- 
weist. 

8. Sicherheitssystem nach einem der vorstehenden 
Anspriiche, dadurch gekennzeichnet, dass die pro- 
grammgesteuerten Einheiten (2, 3) eingangsseitig uber 
eine synchrone SchnittsteUe (6) miteinander und mit 
mindestens einer Peripherieeinheit (4, 5) gekoppelt 
sind, wobei jeweils die erste programmgesteuerte Ein- 
heit (2) als Master und die weiteren program iTigesteu- 
erten Einheiten (3) als Slave konfiguriert sind. 

9. Sicherheitssystem nach Anspruch 8, dadurch ge- 
kennzeichnet, dass die synchrone SchnittsteUe (6) eine 
sogenannte serielle Peripherieschnittstelle (SPI) ist. 

10. Sicherheitssystem nach Anspruch 8, dadurch ge- 
kennzeichnet, dass die synchrone SchnittsteUe (6) an 
einem sogenannten Inter Integrated Circuit Bus (iHl- 
Bus) angekoppelt ist. 

11. Sicherheitssystem nach einem der vorstehenden 
Anspriiche, dadurch gekennzeichnet, dass nundestens 
eine Peripherieeinheit (4, 5) einen Sensor (4), insbe- 
sondere einen Aufprallsensor, und/oder mindestens 
eine Peripherieeinheit (4, 5) eine Konfigurationseinheit 
(5) aufweist. 

12. Verfahren zur Uberwachung der ordnungsgema- 
Ben Funktion eines Sicherheitssystems nach einem der 
vorstehenden Anspruche. 
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